Livre RGPD OneTrust

RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES

Téléchargez ce livre RGPD, vous donnant accès au texte officiel, tel que publié dans le Journal officiel de l’Union Européenne le 4 Mai 2016 et corrigé par le Rectificatif au règlement (UE) 2016/679, JO L 127/2, 25.5.2019.

Télécharger le livre RGPD

ÉTAPES VERS LA CONFORMITÉ AU RDPG

Créer un plan d'action accompagné d'une évaluation de votre état de préparation

Le RGPD exige la mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir et démontrer que le traitement est effectué conformément à la réglementation, et qu’il est revu et mis à jour si nécessaire.

L’outil d’évaluation de l’état de préparation OneTrust est conçu pour identifier les lacunes de votre programme actuel de protection des données personnelles dans le cadre du RGPD, pour fournir la visibilité et les rapports nécessaires aux dirigeants, et pour démontrer la responsabilité et la conformité en cas de contrôle réglementaire.

Articles du RGPD

Générer un registre de traitement en accord avec l'article 30

Le RGPD exige que les responsables du traitement des données personnelles prennent la responsabilité de tenir des registres de leurs activités de traitement. La cartographie des données représente le processus opérationnel permettant de générer un inventaire central des flux de données de l’organisation et de le tenir à jour.

Bien que le RGPD ne mentionne pas spécifiquement la cartographie des données, il exige que les responsables de traitement et les sous-traitants (B2B et B2C) tiennent un inventaire des activités de traitement. L’article 30 du RGPD est extrêmement spécifique dans ses exigences, de sorte que même si une organisation a déjà effectué une cartographie des données, elle devra être mise à jour ou reformulée pour répondre aux exigences du RGPD. OneTrust permet d’exploiter les cartographies et les inventaires de données existants d’une organisation pour répondre aux obligations de l’article 30.

Comment OneTrust aide :

OneTrust permet aux organisations de sélectionner un modèle prédéfini (par exemple un modèle de l’article 30 du RGPD), puis de personnaliser ce dernier en ajoutant ou en supprimant des attributs, des éléments de données, des catégories de personnes concernées, des terminologies, ainsi que toute autre valeur basée sur des exigences commerciales uniques.

Remplissez l’inventaire des flux de données par de nombreuses approches telles que des questionnaires, des technologies de scanning, des ateliers en personne ou par une importation en masse. Une fois que les données ont été renseignées, générez automatiquement un inventaire consultable et des cartes de données visuelles basées sur l’inventaire des données sous-jacentes. Tenez-le à jour avec un module PIA intégré pour saisir les flux de données des nouveaux projets en cours d’examen, d’audit et pour visualiser les résultats de l’analyse en cours.

Articles du RGPD

Mettre en place une analyse d'impact sur la protection des données (AIPD) et le respect des données à caractère personnel dès la conception (Privacy by Design)

Le RGPD exige que les responsables de traitement procèdent à une analyse d’impact sur la protection des données (AIPD) lorsque les opérations de traitement sont susceptibles de présenter un risque élevé. De nombreux détails figurant dans le RGPD rendent cette évaluation plus complexe qu’un questionnaire standard ; par exemple, l’obligation pour le délégué à la protection des données (DPD) de participer à des flux de travail spécifiques, le suivi des activités d’atténuation, la documentation du risque en termes de préjudice pour la personne, la consultation des personnes concernées, etc.

En outre, les organisations mettent en pratique un questionnaire de sélection simplifié pour analyser les risques et déterminer ensuite si une DPIA complète est nécessaire. Ces exigences en matière de flux de travail et de documentation, ainsi que l’expérience et les attentes des utilisateurs de votre entreprise en matière d’intégration, nécessitent des outils spécialement conçus pour permettre la mise en application du RGPD.

Correctement mis en œuvre, la DPIA peut constituer une approche efficace pour répondre aux exigences de la protection des données dès la conception et par défaut.

Comment OneTrust aide :

OneTrust propose de nombreux questionnaires de sélection et de DPIA prédéfinis parmi lesquels les organisations peuvent choisir, ou bien importer et adapter les leurs à l’aide d’une interface de type ” drag and drop “. Configurez les flux de travail appropriés pour la validation et le suivi des risques, distribuez les questionnaires aux professionnels via des notifications par e-mail ou un portail libre-service, et collectez les réponses et analysez les risques grâce à des règles d’automatisation ou à une identification manuelle des risques. Les organisations peuvent assigner des tâches de suivi et d’atténuation des risques afin d’inciter et d’appliquer automatiquement les mesures correctives, et de produire facilement des rapports pour les autorités de régulation, la gestion de projet ou les professionnels.

Articles du RGPD

Répondre aux exigences de l'UE en matière de conformité des cookies

Le RGPD a influencé l’élaboration du nouveau règlement ePrivacy qui harmonise la directive ePrivacy actuelle avec le RGPD. Les organisations sont confrontées à des pénalités accrues et à des mesures réglementaires plus ciblées dans le cadre du nouveau règlement.

Comment OneTrust aide :

OneTrust aide à faire face de manière proactive aux réglementations en effectuant des analyses continues de tous les sites web d’une organisation, et en classant automatiquement tous les cookies et technologies de suivi trouvés en fonction des directives réglementaires disponibles. L’analyse produit un rapport détaillé et exploitable qui permet d’analyser ces technologies au sein des équipes de marketing digital afin de procéder aux mises à jour nécessaires. OneTrust peut générer automatiquement une bannière de cookie facilement personnalisable avec la possibilité d’intégrer les résultats de l’analyse du site web dans l’avis de cookie dans le cadre de la politique de confidentialité d’une organisation. Dans la bannière cookie, il est possible de fournir aux visiteurs un centre de préférences qui leur permet de choisir de consentir ou non au suivi.

Articles du RGPD

Créer un portail de demande de droits des personnes concernées

Le RGPD donne aux personnes concernées de nouveaux droits, tels que : la portabilité des données, l’accès, l’effacement ou le “droit à l’oubli”, la rectification, etc. En outre, il existe des exigences spécifiques en matière de conservation des données concernant le délai de réponse, la possibilité de demander une prolongation, l’obligation de valider l’identité, la transmission sécurisée de la réponse à la personne, entre autres.

Comment OneTrust aide :

OneTrust offre aux organisations la possibilité de personnaliser un formulaire web à leur image, de créer un lien vers le formulaire à partir de la page web de la politique de confidentialité de l’entreprise, de recevoir une notification lorsqu’une demande a été soumise et de demander automatiquement une prolongation si une date limite approche. Lorsque la demande est satisfaite, les données sont transmises de manière sécurisée à la personne concernée, et la demande est liée à la cartographie des données sous-jacentes afin de répondre efficacement à la demande, ainsi que de générer la documentation et les preuves appropriées si un régulateur venait à enquêter sur la demande.

 

Articles du RGPD

Élaborer un programme de gestion du consentement

Le RGPD établit une nouvelle norme rigoureuse pour les organisations qui traitent des données sur la base du consentement. Par exemple, le consentement doit être : spécifique, clair et formulé dans un langage simple, non dissimulé dans des avis juridiques, non regroupé avec des avis multiples, facile à retirer, etc. En outre, les organisations doivent être en mesure de démontrer que le consentement a été reçu de manière granulaire.

Comment OneTrust aide

OneTrust fournit une solution de gestion du consentement qui peut être intégrée au site web, aux dispositifs et aux systèmes internes de l’organisation en saisissant les données de consentement de manière standardisée. Les organisations peuvent ensuite démontrer individuellement leur consentement aux autorités de contrôle et fournir aux personnes concernées une liste de toutes les choses auxquelles elles ont consenti pour qu’elles puissent accepter ou retirer leur consentement.

Articles du RGPD

Examiner les risques liés aux fournisseurs et y remédier

Le RGPD tient le contrôleur responsable des actions ou des manquements du sous-traitant. Il est essentiel d’analyser les transferts de données et les obligations contractuelles des fournisseurs avec le même niveau de diligence que les activités de traitement interne afin d’avoir une position défendable en cas de violation par un fournisseur ou un vendeur. En outre, cela permet aux organisations de comprendre rapidement quelles données ont été touchées par cette violation.

Comment OneTrust aide :

OneTrust permet aux organisations d’effectuer des contrôles préalables sur les fournisseurs, à la fois pendant la phase initiale d’intégration des fournisseurs et lors de la réévaluation des fournisseurs existants selon un calendrier basé sur les risques. Les questionnaires d’évaluation en matière de protection des données personnelles et de sécurité des fournisseurs peuvent être envoyés directement au fournisseur ou à une tierce partie afin de remplir et de générer un registre central de tous vos fournisseurs, contrats, transferts de données, la base juridique de tout transfert transfrontalier et les obligations de sécurité appropriées.

Articles du RGPD

Onetrust All Rights Reserved